关键的NAS漏洞影响D

• 2025-11-13 19:01:16

DLink NAS 设备安全漏洞警告

Key Takeaways

组织使用 DLink 网络附加存储NAS硬件的情况需要特别关注，最近披露了一项安全漏洞。

该命令注入漏洞被称为 CVE202410914，可能允许攻击者远程接管网络连接的存储设备，完全控制这些设备以访问存储数据，或者利用该设备作为跳板突破本地网络中的其他系统防护。

根据漏洞评估机构的评级，这一漏洞的 CVSS 分数为 92，标志着其为关键安全风险。受影响设备包括： DNS320 版本 100 DNS320LW 版本 10109142012 DNS325 版本 101 和 102 DNS340L 版本 108

根据 NetSecFish 的报告，发现并报告该漏洞的研究人员指出，该漏洞的根本原因在于某些 DLink 设备处理通过 GET 命令发送的 CGI 命令的方式。

“具体来说，漏洞存在于 CGI 脚本 cgiuseradd 命令所用的名称参数的处理上，”NetSecFish 解释道。

“该漏洞允许未经过身份验证的攻击者通过精心制作的 HTTP GET 请求注入任意 shell 命令，影响超过 61000 台互联网上的设备。”

简而言之，攻击者可以向受到攻击的 NAS 设备发送一个包含任意命令的 GET 请求作为“名称”参数，由于设备未能正确检查输入，该设备将执行这些指令，从而导致远程代码执行，或者一些人称之为“完全控制”。

幸运的是， NIST 表示，尽管该漏洞可以被远程利用，实际上成功利用漏洞是相对困难的，这意味着简单的随机攻击尝试可能不会导致被完全控制。

更复杂的是，DLink 认为这些受影响的设备已被视为过时的硬件。DLink 已将这些设备列为停止服务或生命周期结束，并建议组织使用新款存储设备进行替换。

“DLink 不时会决定某些产品已达到服务结束EOS或生命周期结束EOL，” 该厂商表示。

“DLink 可能由于技术演进、市场需求、创新和基于最新技术的效率等原因，选择将某些产品归类为 EOS/EOL，或者产品会随着时间的发展而逐渐成熟。”

对于仍依赖这些设备的组织而言，这无疑不会带来安慰，他们将不得不在迁移之前继续使用存在安全风险的硬件。NetSecFish 建议管理员最小化对 NAS 硬件的网络访问，以限制可能的攻击范围。